Quelles stratégies en attendant un véritable Cloud souverain ?

L’hébergement des données sur le Cloud est devenu aujourd’hui un enjeu politique majeur, et ont donné naissance  à la mise en place du concept de « Cloud souverain », encore très peu développé à l’heure actuelle.

A l’heure actuelle, le marché du Cloud est en plein essor, introduisant de nouveaux concepts, modes de consommation (approches DevOps, FinOps…) et démocratisant des technologies innovantes. Les hyperscalers américains comme AWS, Azure et Google Cloud Platform sont aujourd’hui les leaders incontestés du marché et leur catalogue de services est très diversifié.

Mais l’hébergement des données sur le Cloud est devenu aujourd’hui un enjeu politique majeur. L’exemple du Health Data Hub l’illustre bien : la plateforme a été créée en 2019 pour faciliter le partage des données de santé en utilisant les services Cloud d’Azure. Ce choix est aujourd’hui contesté du fait de la soumission du CSP au droit américain et d’un risque de transfert de données issues du Health Data Hub vers les États-Unis.

Ces enjeux ont contribué à la mise en place du concept de « Cloud souverain ».

Ce dernier pourraient combler les besoins de nombreuses entreprises. Mais il est très peu développé aujourd’hui. Des solutions existent, nous proposons dans cet article de partager notre vision.

Le cloud souverain : vers une quête d’indépendance

Figure 1 – De multiples initiatives jusqu’alors infructueuses (cliquez sur l’image pour zoomer)

Cloud souverain : des début difficiles

L’idée de souveraineté informatique a émergée en 1966 avec le plan calcul. De nombreux projets ont par la suite émergé (programme Quaero, projet Andromède donnant naissance à Numergy et CloudWatt…). Ces tentatives ont toutes été infructueuses. Numergy et CloudWatt ont même fini par être rachetés par Orange Business Services et SFR pour constituer des offres de services Cloud.

Une quête d’autonomie

Les grands acteurs européens sont donc aujourd’hui et depuis longtemps en quête de liberté vis-à-vis des grandes entreprises étrangères. Chaque pays cherche à conserver son savoir-faire afin de gagner en autonomie et promouvoir son économie interne.

Les conséquences du Cloud Act

Les fournisseurs de Cloud sont soumis à de nombreuses régulations en fonction de leurs activités.
Les CSP (Cloud Service Providers) américains tels que AWS, Azure et GCP sont soumis au Cloud Act. A travers cette législation, les Etats-Unis ont le droit de récupérer des données collectées par des entreprises américaines, même si ces données sont géographiquement hébergées hors de leur juridiction.

Cette loi pose débat, car elle interfère avec l’indépendance numérique et la gestion de données européennes.
Résultat : 69% du marché du Cloud européen est contrôlé par les fournisseurs américains (AWS, Google Cloud Platform et Microsoft Azure).

Pourquoi un tel engouement pour les offres des hyperscalers américains ?

Une offre de service Cloud européenne encore en retard

Les fournisseurs de services cloud européens existent. On pourrait en citer quelques-uns comme OVHCloud (le plus connu), mais aussi Scaleway, OutScale, Ionos, AntemetA…

Malgré le développement en continu de leurs offres, tous ces acteurs proposent un catalogue de services moins étendu et de moins performants que les 3 grands hyperscalers. Alors qu’AWS et Azure proposent plus de 200 services, OVHCloud, le leader français, en propose une quarantaine.

L’offre de services de ces fournisseurs Cloud semble donc moins attractive pour les sociétés européennes cherchant à effectuer une transformation vers le Cloud.

Des services européens moins accessibles

De plus, les services Clouds européens sont moins accessibles car moins automatisés et industrialisés que les hyperscalers. Ils sont aussi moins documentés et nécessitent donc des ressources humaines déjà formées sur ces technologies. Cela  implique plus d’efforts de la part de l’entreprise pour intégrer les services.

Afin de pallier ce manque de services et de moyens chez les fournisseurs Cloud européens, de nombreuses initiatives sont régulièrement introduites.

GAIA-X : un projet trop ambitieux ?

Parmi les projets actuels, GAIA-X, un projet européen ayant pour but de créer une infrastructure Cloud sécurisée et fiable, utilisée par l’Union Européenne.

Ce projet a été lancé en 2020, a démarré en 2021 et a pour objectif d’être opérationnel en 2027. L’infrastructure émergente serait un système fédéré de plusieurs fournisseurs de Cloud et d’utilisateurs qui formeraient un Cloud décentralisé.

Avec une fédération de services, des espaces de données accessibles uniquement sur demande, la création d’une architecture et de normes dédiée, le développement de nouveaux services digitaux, GAIA-X est une initiative ambitieuse.

GAIA-X : les contours d’une solution

GAIA-X compte aujourd’hui plus de 300 entreprises. Elle comporte des grands acteurs provenant de nombreux secteurs d’activité (Orange Business Services, Thalès, OVH, EDF, Société Générale, Siemens…).

Les débuts du projet semblent prometteurs. La finalité des solutions développées pour GAIA-X est de partager des données pour avancer dans la recherche. Elles permettraient aussi d’améliorer les processus et savoir-faire internes des entreprises, en toute sécurité et transparence.

Catena-X est un de ces projets qui, en collaboration avec GAIA-X, cherche à créer un réseau sécurisé de données pour l’industrie automobile. Atos, membre fondateur de GAIA-X s’est aussi associé à Catena-X afin de renforcer la sécurité des échanges de données. De grands projets pourraient ainsi voir le jour grâce à GAIA-X.

Des initiatives qui tardent à voir le jour

Pour le moment, le projet GAIA-X enchaîne des retards. L’inscription juridique de GAIA-X au registre du commerce belge devait avoir lieu en septembre 2020 et n’a eu lieu qu’en février 2021.Les premiers services GAIA-X devaient être dû en 2021 et ont finalement été reportés à 2022. De plus, le grand nombre de contributeurs ralentit la prise de décisions.

Ce projet devra rapidement prouver sa valeur ajoutée, en fournissant des résultats, auquel cas, de nombreux acteurs risquent de se désolidariser.

Des intérêts divergents

Inconvénients principaux de ce projet : son ampleur démesurée mais aussi l’ouverture de GAIA-X à ses concurrents chinois et américains en mars 2021 qui inquiète vis-à-vis de sa souveraineté. En effet, les géants du Cloud ont à priori peu d’intérêt à développer l’interopérabilité entre les offres Cloud du marché européen.

En conséquence, Scaleway a décidé de quitter le projet en novembre 2021. Bien que membre fondateur, l’entreprise considère que les hyperscalers américains, dotés de moyens de lobbying considérables, influencent GAIA-X, vouant le projet à l’échec. Scaleway n’est pas le seul. Peu après, Hosteur, un autre hébergeur de Cloud a aussi décidé de quitter le projet pour les mêmes raisons.

Cloud de confiance : une première réponse ?

Le 17 mai 2021, le CIGREF a publié son référentiel « Cloud de confiance ». Ce terme indique que les services du Cloud respectent le visa SecNumCloud (visa de sécurité fourni par l’ANSSI ), que les infrastructures et systèmes sont localisés en Europe et que l’entreprise qui porte le projet est européenne. Ainsi, le gouvernement français garantit une « indépendance totale par rapport aux lois extraterritoriales américaines ».

Ce référentiel permet l’intervention des acteurs américains dans la chaîne du Cloud tout en sécurisant et en respectant les valeurs RGPD européennes. Les partenariats peuvent alors permettre de faire monter les Clouds européens en performance et en diversité de services.

Les acteurs du cloud français s’emparent du sujet !

Face à la demande du marché européen, les entreprises françaises cherchent à se positionner sur ces offres de Cloud de confiance.

GCP et OVHCloud ont annoncé un accord stratégique

En 2020, OVHCloud et Google s’allient pour proposer une offre de confiance en Europe. Cette offre s’appuie sur la solution Google de Cloud hybride Anthos. Les données resteront hébergées au sein d’OVHCloud. Le système proposé : Hosted Private Cloud permettra de bénéficier des logiciels et services de Google.

Un Cloud de confiance signé Thalès et Google Cloud Platform

Google et Thalès annoncent en 2021 préparer un « Cloud de confiance » pour 2023. Pour cela, les deux organisations prévoient de créer une nouvelle société majoritairement pilotée par Thalès. Cette association permettra d’accéder à des services de GCP. L’entièreté de l’hébergement sera réalisée par Thalès.

Projet Bleu : Microsoft, Orange et Cap Gemini s’allient

Orange et Capgemini ont annoncé leur partenariat en 2021, en vue de la création d’une nouvelle société  Cloud de confiance baptisée Bleu. En partenariat avec Microsoft, Bleu proposera l’ensemble des solutions Cloud d’Azure.

OVHCloud et Atos pour un Cloud de confiance européen

Atos et OVHCloud ont annoncé en 2021 la signature d’un partenariat stratégique. Ce dernier a pour but de créer une solution Cloud de confiance 100% européenne. Les deux acteurs français font partie du projet GAIA-X. Ils ont à cœur de fournir à l’Europe un Cloud de bout en bout.

AWS et Orange Business Services s’unissent

De leur côté, AWS et Orange se rapprochent en 2020 pour proposer de nouveaux services Cloud chez Orange Business Services. Ils souhaitent également développer un centre d’excellence Cloud dédié à l’infrastructure d’AWS.

Les acteurs français du Cloud (OVHCloud, Outscale…) proposent des services aux entreprises désireuses de s’émanciper du Cloud Act.

Ces solutions sont néanmoins plus restreintes en terme de services comparées aux offres américaines. Certains services à forte valeur ajoutée (Data Analytics, offres PaaS, FaaS ou SaaS) seront limités chez les fournisseurs français ; les hyperscalers américains conservant leur avance dans ces domaines.

Une première étape vers la souveraineté

Ces projets de partenariats mettent en évidence le fait que le savoir-faire des grands acteurs américains du Cloud reste incontournables pour offrir le niveau de services et de performances attendus par le marché.

Malgré ces alliances,  seuls les acteurs américains auront la propriété intellectuelle du Cloud. Les Français auront juste à piloter les solutions américaines, sans pour autant gagner en maîtrise technologique.

Les solutions d’hébergement proposées par ces partenariats assurent donc la souveraineté de la donnée aux clients. L’exploitation et les datacenters sont en effet gérées par des entreprises françaises. Toutefois, ces initiatives n’assurent pas la souveraineté technologique du Cloud.  Les technologies mobilisées sont la propriété exclusive des hyperscalers américains.

Des stratégies viables en attendant un cloud souverain

Les offres de Cloud souverain ne sont pas matures aujourd’hui. Quelques acteurs européens proposent des offres qui ne procurent pas encore une couverture complète de services. Des solutions se dessinent avec l’arrivée du « Cloud de confiance ».
En attendant la disponibilité de ces nouvelles offres, différentes stratégies sont envisageables :

  • La mise en place de Clouds privés où les données sensibles seront hébergées et traitées On-Premise
  • Un modèle hybride, combinant Cloud privé et Cloud public où les applications sensibles resteront On-Premise. Les autres applicatifs pourront être hébergés sur des Cloud français ou américains en fonction des besoins
  • Une approche multicloud, où l’on pourra mixer Clouds publics, français ou américains. Les applications peu sensibles et leurs données pourront être déployés sur les services des hyperscalers.

Ces stratégies doivent être étudiées en fonction du contexte et des enjeux de l’entreprise au risque d’être pris au piège d’une dépendance vis à vis d’un des acteurs du cloud : le vendor lock-in.

Auteur : Elodie Léger

Architecte d'Entreprise